如果你FORTIGATE是跑7.6.X,

用IPSEC OVER TCP 去建立VPN (某程度上等同 SSL SITE 2 SITE VPN)

理論上是可能通的, 旦後果自負

比較合法的方案是MPLS / ALIBABA CLOUD CEN 去接通

https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-configure-IPsec-over-TCP/ta-p/403584

TCP PORT 建議用4096以後的, 別用443

目前在上海使用FortiClientVPN 的SSLVPN 連回台灣 使用上沒問題。
但是使用FortiClientVPN 的IPSEC連線方式卻一直失敗

這是因為撥接式VPN採用IPsec
與撥接式VPN採用SSLVPN是不同的通訊方式
而IPsecVPN一直是大陸時不時封鎖的服務

如果貴公司一直執著於費用(意思就是要免費使用VPN)
建議繼續採用SSLVPN，不用更換IPsec
設備汰舊換新了，還可以繼續當成SSLVPN Server使用
因為撥接式VPN採用IPsec並沒有很好用
原廠真正推薦的方案是FortiSASE訂閱制

至於IPsec over TCP
也許可能是一種解法
但目前自FortiOS 7.4啟用開始
就一直存在不少狀況
如果對於VPN等等協議及FortiOS不是很熟
也同樣不建議輕易嘗試

MPLS-VPN 唯一穩定建議.
不花錢就時不時斷線.

我們與上海使用FortiGate IPSEC 點對點VPN已經有20多年了，甚至是深圳也都使用過一陣子，大多數的時間是正常的，偶而也會出現VPN網速很慢，但上海同事對外連網是正常的情況，只能猜測是中國又在做甚麼
台灣使用的是中華電信的企業光纖，上海使用的是聯通的固1IP網路，FortiGate是使用精靈建立連線，後續再做些調整
中國的網路終究不比台灣，實務上還是要測試才知道
老話一句，如果你建了VPN，節省了昂貴的網路費，但老闆只把重點放在偶而的網速過慢問題，建議你還是請廠商做就好

我公司分佈上海、昆山、墨西哥、越南、……我用 Fortigate 組 S2S IPsec VPN 完全沒問題，C2S 也用了 N 年，而且我在台灣有中華、遠傳兩條線路，大陸有電信、移動線路，互相串聯 N 年來都沒問題，用的都只是一般企業 Internet 線路。

如果你是 C2S IPsec VPN 出問題，雖然被 GFW 誤攔的情況是有的，但是比例很低。我的經驗是有很大的可能是 Fortigate 或者 FortiClient 其中一個的版本太舊。譬如說 7.0 版 FortiClient 的就連不上目前 7.4 或 7.6 版的 Fortigate，必需升級，因為新版的 Fortigate 會停用不安全的 DH Group 及加密演算法。而且舊版的防火牆只支援一種版本的 IKE。

以上問題依日誌並配合在 CLI 模式下用 diag debug 都能找到問題出在哪裡。